lunes, 6 de junio de 2016

LockpickAR en Nerdear.la !

Estamos felices!

Vamos a participar de Nerdear.la!

Este 9 y 10 de Junio en el Centro Cultural San Martin - Sarmiento 1551.

Los esperamos!

https://nerdear.la/

martes, 2 de febrero de 2016

Ekoparty 2015 - Nota Cultura Geek!

Cultura Geek paso a charlar un rato con nosotros en la Ekoparty 2015 y aca les dejamos link de la nota donde cuentan la experiencia de ellos de pasar por un evento como es la Eko y por supuesto lo que vivieron en el stand de L0ckpickAR!

http://culturageek.com.ar/ekoparty-2015-la-fiesta-los-hackers-argentinos-desde-adentro/

Muchas gracias!

viernes, 21 de agosto de 2015

Viernes de Huellas!

Buen día a todos!

Tal como hablamos la semana pasada, hoy vamos a estar realizando el taller de duplicación de huellas como primer actividad de l0ckpickar en el Hackerspace de la eko.

Para aquellos que no pudieron venir el Viernes pasado los invitamos a que vengan este Viernes las condiciones siguen siendo las mismas.


En el encuentro se debatieron diversos proyectos que se pueden empezar a pensar y realizar, como así también la forma de comunicación y normas generales del espacio.

Algunos de estos fueron:
  • Crear el control de acceso al hackerpace con la ayuda de un arduino y los proyectos similares basados de https://wiki.hackerspaces.org/Hackerspace_Software
  • La creación de una wiki propia para poder documentar los proyectos a realizar, tanto como los realizados.
  • Investigar sobre plataformas libres que manejen rfid.
Por último para los interesados a asistir hoy, les pedimos si tienen y pueden traer ( algún CD viejo, y si tienen algún otro lector donde podamos realizar pruebas adicionales tal como hablamos iphone, computadora, etc)

Saludos!!

jueves, 6 de agosto de 2015

Viernes de Hackerspace!!!

Hola a todos!

Nos alegramos de anunciar que a partir del próximo Viernes 14 de Agosto, comenzamos con las actividades de L0ckpickAR en el Hackerspace de la Ekoparty!


Compartir unas horas en el Hackerspace para profundizar conceptos todas las semanas y adquirir nuevos conocimientos relacionados a la Seguridad Fisica, poder acompañarlos y guiarlos en el desarrollo de proyectos relacionados con distintas areas de la Seguridad Fisica, vincular tecnologia, informatica, diseño y seguridad en general aplicado a la Seguridad Fisica, es el objetivo principal de esta nueva actividad que proponemos.

Esta orientada a todos los que quieran comenzar a aprender desde cero sobre funcionamiento de cerraduras, candados, dispositivos electronicos, alarmas, sensores, camaras y todo lo relacionado a Seguridad Fisica, como tambien a aquellos que esten en niveles mas avanzados y esten buscando su lugar donde desarrollar sus proyectos, conocer gente que comparte mismos intereses, generar ideas, intercambiar conocimientos y proponer nuevos proyectos conjuntos o charlas.

Donde se va a desarollar?

Todas estas actividades se van a desarrollar en el Hackerspace de la Ekoparty, que queda en Bolivar 238 - 1°C, entre Alsina y Moreno.

En que horario?

La idea es juntarnos los dias Viernes de 18:00hs a 20:00hs. Puntual.

Hay que registrarse?

Para asistir lo unico que pedimos es enviarnos un mail a organizacion@lockpickar.org con Nombre y Apellido de aquellos que van a asistir.

Los esperamos!

L0ckpickAR!

lunes, 13 de abril de 2015

Bienvenidos

Destinamos este espacio al intercambio de conocimientos referidos a la Seguridad Física y el Lockpicking en Argentina.

Les dejamos el canal de Youtube y en breve subiremos material a la lista ó por acá.

Bienvenidos!!

jueves, 23 de octubre de 2014

Lockpicking y Seguridad Fisica en Ekoparty 2013

Este es un breve resumen de lo que fue la Eko de este año y la experiencia de llevar adelante una vez más lockpicking a la conferencia, y sumar nuevas experiencias en materia de seguridad física. En esta oportunidad nos enfocamos en profundizar sobre lectores biométricos y sus vulnerabilidades.

“Es el arte de abrir cerraduras analizando y manipulando sus componentes sin la utilización de su llave o dispositivo original para su apertura. Erróneamente su práctica se la relaciona con actividades criminales, pero es esencialmente la habilidad principal del cerrajero. Hoy día incluso se practica como hobby y recreativamente con torneos y competencias alrededor del mundo”

INTRODUCCION

Participar en una Eko es todo un desafío, es pasarse horas frente a un monitor, reunidos o haciendo research sobre distintas áreas para llevar adelante el stand y por sobre todas las cosas llegar con el tiempo justo y todo andando para el evento.
En las siguientes páginas contamos un poco esta experiencia de intentar innovar y actualizar algo que se viene haciendo hace años, correr contra el tiempo y sin embargo hacer que “la cosa funcione”.

EL STAND

Este año uno de los puntos quizás más importantes fue apostar a un espacio dedicado especifico más grande y sumar actividades, a raíz de la gran convocatoria que hubo en la Eko anterior cuando como taller explicamos cómo hacer tus propias herramientas para Lockpicking.

El stand estuvo dividido en distintas áreas por un lado la sección de cerraduras (trabex, candados, tambor, etc), también redoblamos la apuesta con “La Caja” un desafío de seguridad física que hicimos para este año y del cual vamos a hablar más adelante. Por último, destinamos un área donde constantemente y a modo de workshop, se explicó cómo copiar y levantar huellas para generar “dedos” falsos y así obtener acceso en cerraduras con lectores biométricos.

En esta oportunidad nuestra idea fue la de mantener lo que se viene mostrando ya desde hace un tiempo en materia de cerraduras, se habló específicamente sobre candados, cerraduras trabex y de tambor, su funcionamiento y formas de apertura.

Al igual que en anteriores ediciones todo aquel que quería participar en las actividades del stand, podía hacerlo sin inconvenientes y en todo momento, ya que había a disposición todo tipo de herramientas hechas caseramente como las típicas ganzúas y tensores, y también un kit hecho especialmente para el workshop de biometría, con todo lo necesario para iniciarse en estas técnicas.

LA CAJA

Nace como un nuevo desafío en esta última edición y sobretodo como un intento de implementar distintos tipos de dispositivos de seguridad física, desde cerraduras, sensores de contacto, PIR y un infrarrojo, hasta una barrera de lasers, un lector biométrico y una cámara IP conectada a un router wifi, en un juego que mas allá de entretener tenía una alta dificultad e involucraba distintos conocimientos y habilidades, desde informática, pasando por electrónica y por supuesto, lockpicking.

El objetivo era vulnerar todo el sistema de seguridad y poder conectar un teclado USB a un conector que se encontraba en el interior de la misma y tipear una cadena de texto. El ataque podía ser centralmente o a los sensores de forma individual, todo evitando activar una alarma que se disparaba al activarse alguno de los mismos, dejando al equipo participante fuera de juego hasta su próximo turno. Se otorgo un flag de puntaje máximo para aquellos participantes que lograran vulnerar la caja y concursaran en el CTF (Conquer the Flag).

CONSTRUCCION Y FUNCIONAMIENTO


Primeras imágenes de la caja, su armado en fibrofacil, pintado posterior y colocación de acrílicos.

La caja se contruyo utilizando fibrofacil en todas sus partes, luego se colocaron acrílicos en el interior de la misma para separar la electrónica y no permitir el acceso a la misma desde adentro, pero que al mismo tiempo pudiera observarse su interior y aportar datos para descubrir sensores y su funcionamiento.

Del mismo modo se colocó un acrílico en la parte superior de la caja con un orificio de 15 cm de diámetro el cual tenía la función de “tentar” a los participantes de tener acceso al USB en su interior de una manera más simple que vulnerar todo el resto de los sensores y seguridad de las puertas, activando el PIR, infrarrojo o barrera de lasers.

Esta “tapa” con su orificio, también tenía ubicado en sus cuatro extremos sensores de contacto, de modo tal que si alguien podía sacar los candados que aseguraban el acrílico a la caja, al levantarlo y no advertir la presencia de los mismos, iba a disparar la alarma.


Detalle del acrílico en el interior, sensor PIR, fuentes de alimentación y Arduino UNO.

Todos estos dispositivos se controlaron mediante la utilización de Arduino Uno, y conectados mediante opto acopladores a los distintos sensores, también se utilizó un relé adosado al Arduino.
La caja estuvo alimentada principalmente por dos fuentes switching comunes de PC, la cámara IP con su fuente correspondiente al igual que el router y parte del lector biométrico ya que la cerradura magnética se alimentaba con las fuentes.


Detalle de ambos accesos por puerta a la caja, el de la cerradura magnética y lector biométrico + cámara IP (izq) y la puerta con cerradura tipo trabex + candado y sensor de apertura de la misma (der).


Detalle de IR para la barrera laser (izq) y PIR (der)

La barrera laser que estaba en el interior de la caja, eran básicamente 4 diodos laser que emitían un haz desde el interior del lado que estaba protegido por un acrílico y atravesaba todo el largo de la caja rebotando en unos espejos colocados en su otro extremo, para volver a donde se originaron y ser recibidos por un sensor IR que chequeaba constantemente que el haz no se interrumpiese en ningún momento, si esto ocurria al igual que con el resto de los sensores, activaba la alarma.


Detalle de uno de los accesos de la caja que solo podía ser abierto si se lograba duplicar un dedo mediante la técnica explicada en el workshop y de esta forma vulnerarlo.


Detalle de barrera laser en pleno juego

La caja se armo de forma tal de que los participantes se vean obligados a ingresar por la puerta que tenía el lector biométrico (es por eso que se dio un workshop explicando cómo duplicar huellas y como poder vulnerarlo), también se podía hacer por la puerta del otro extremo, pero dado que los participantes solo tenían 10 minutos por pasada, llevaba demasiado tiempo abrir el candado y la trabex, motivo por el cual no era conveniente.

Otro de los posibles caminos era quitando el acrílico de la parte superior, sin que se activen los sensores de presión, vulnerar el PIR e infrarrojo y por último los lasers para poder conectar el teclado.


Detalle de una de las computadoras que controlaban la lógica de la caja

Como decíamos mas arriba toda la lógica se controlo utilizando como interfaz Arduino UNO y después una aplicación hecha en Java corriendo sobre un Linux en una Asus 1000H.

Se establecieron distintos valores de umbral de sensibilidad de cada sensor de la caja y se testeo que todo funcionara correctamente, se calibraron los lasers (que el haz rebote correctamente en los espejos y se reciba bien en los IR) y se hicieron pruebas de juego para establecer estos valores y se fueron ajustando a lo largo de la Eko a medida que los participantes ponían a prueba el sistema.

Cabe destacar que había una ayuda para aquellos que se animaran a intentar romper la clave WEP del router Linksys WRT54G, ya que teniendo acceso a la red wifi (era accesible para todos los que estuvieran en las cercanías incluso sin jugar) se podía ver mediante la cámara IP la disposición de todos los sensores, haz de laser y espejos y elaborar una mejor estrategia a la hora de vulnerar la caja.

La única dificultad para esta ayuda era que el router tenia registrada la dirección MAC de una sola computadora que podía acceder y para quienes quisieran entrar, luego de romper WEP tenían que estar a la escucha analizando trafico esperando a que esta computadora accediera al router (ocurria 1 vez por hora) para obtener su MAC.

WORKSHOP

Durante los 3 dias que duro la Ekoparty, estuvo a disposición de todos aquellos interesados en el tema y de participar mas activamente en el desafio de la caja, un workshop de duplicación de huellas para vulnerar lectores biométricos.


En el mismo se explicaba como hacer las duplicaciones utilizando Cianocrilato y Siliconas para odontología para hacer el levantamiento de las huellas y su posterior armado de un “dedo falso” de silicona con la huella levantada.

En el workshop se entregaban los materiales necesarios para llevarlo a cabo y se daba una breve charla sobre como realizar el procedimiento.

Cabe destacar que la técnica explicada es viable actualmente en la mayoría de los sistemas de acceso y fichaje en empleos por ejemplo, mostrando que no solo es posible vulnerar estos sistemas de una manera eficaz y rápida, sino con materiales que es posible conseguirlos por poco dinero y sin complicaciones en cuanto a su disponibilidad en el mercado.

CONCLUSIONES

Una vez más nos llevamos una gran cantidad de momentos gratos y divertidos de la Eko, pero por sobre todo la satisfacción de haber concretado una apuesta que hicimos tiempo atrás al cerrar la edición anterior de mejorar y poder ofrecer “algo más” a lo que tenemos acostumbrados a todos en el stand de Lockpicking.

También esta apuesta es un gran desafío para lo que viene, porque implica volver a apostar a superarnos para la próxima y que no solo sea mejor, sino poder presentar algo novedoso en el tema.
Creemos que hay mucha gente interesada no solo en Lockpicking propiamente dicho sino en todo lo relacionado a Seguridad Física y el alcance de lo que implica, hoy día es importante tener control sobre el perímetro por ejemplo de servidores y lugares donde se resguarda información de una manera confiable y segura.

Es por eso que más allá de nuestro desafío que plantea de manera lúdica los distintos mecanismos, sensores, algo de electrónica y programación para mostrar en pequeña escala el funcionamiento de estos dispositivos y sistemas, y la interacción con individuos que intentan vulnerarlo, se tome conciencia de que muchas veces la seguridad de la información se ve comprometida por el entorno físico que se descuida, y simplemente con conocer cómo funcionan todos estos dispositivos y estos sistemas, sus vulnerabilidades y formas correctas de implementarlas, es posible mejorar en creces la seguridad y protección de la información.


EQUIPO DE TRABAJO
STAND LOCKPICKING – EKOPARTY 2013

COORDINACION, DESARROLLO y RESEARCH
Juan Urbano Stordeur
Juani Bousquet

ARDUINO
Matias Nahuel Heredia

COLABORACION CON LA CAJA
Carlos Pantelides
Alejandro Rusell

COLABORACION GENERAL
Juan Pablo Vercesi

Publicado enInfobyte Blog (english)